親クラス: TrojWare
トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。クラス: Backdoor
バックドアは、悪意のあるユーザーが感染したコンピュータをリモートコントロールできるように設計されています。機能性の面では、バックドアはソフトウェア開発者が設計し配布する多くの管理システムに似ています。これらの種類の悪質なプログラムは、ファイルの送受信、ファイルの起動や削除、メッセージの表示、データの削除、コンピュータの再起動など、感染したコンピュータ上で必要な作業を可能にします。このカテゴリのプログラムは、被害者のコンピュータのグループを結びつけ、ボットネットまたはゾンビネットワークを形成するためです。これにより、悪意のあるユーザーは感染したコンピュータの軍隊を集中管理し、犯罪目的で使用することができます。 Net-Wormのように、ネットワークを介して拡散して他のコンピュータに感染することができるバックドアのグループもあります。違いは、このようなBackdoorは(Net-Wormのように)自動的に広がるのではなく、それらを制御する悪意のあるユーザーからの特別な「コマンド」に限られるということです。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
このTroajnプログラムは、犠牲PCのリモート管理に使用できます。これには、クライアントコンポーネントとサーバーコンポーネントがあります。
サーバーコンポーネントはMicrosoft Visual C ++で記述されています。サイズは28672バイトであり、決してパックされません。クライアントコンポーネントもMicrosoft Visual C ++で書かれており、サイズは32768バイトです。それは決して詰め込まれません。
ペイロード
リモートの悪意のあるユーザーが、自分のマシンでクライアントコンポーネントを起動します。これにより、被害者マシンにインストールされているサーバーコンポーネントにコマンドを送信することができます。悪意のあるユーザーは、被害者のマシンのアドレスを与える必要があります。
このプログラムには、次の文字列が含まれています。
AckCmd 1.1 - Windows 2000のAckコマンドプロンプト
- (c)2000、**** Vidstrom、****.vidstrom@****curity.nu
- 手順については、http://****curity.nu/toolbox/ackcmd/を参照してください。
- (c)2000、**** Vidstrom、****.vidstrom@****curity.nu
- 手順については、http://****curity.nu/toolbox/ackcmd/を参照してください。
サーバーコンポーネントは、リモートの悪意のあるユーザーが被害者マシン上でコマンドラインを開き、被害者マシン上のコマンドラインからコマンドを実行することを可能にします。
このバックドアの興味深い機能は、ACKパケットのみを使用することです。これは、標準接続が確立されていないことを意味します。むしろ、データはACKパケットを使用して直接送信される。これにより、トロイの木馬がいくつかのファイアウォールをバイパスすることが可能になります。
バックドアには複製ルーチンはありません。
削除手順
- タスクマネージャを使用して、トロイの木馬のプロセスを終了します。
- 元のバックドアファイルを削除します(被害者マシン上の場所は、プログラムが最初に被害者マシンに侵入した方法によって異なります)。
- ウイルス対策データベースを更新し、コンピュータのフルスキャンを実行します(Kaspersky Anti-Virusの試用版をダウンロードしてください)。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!